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Meldplicht datalekken 

Aan de orde is de voortzetting van de behandeling van: 

- het wetsvoorstel Wijziging van de Wet bescherming 
persoonsgegevens en enige andere wetten in verband met 
de invoering van een meldplicht bij de doorbreking van 
maatregelen voor de beveiliging van persoonsgegevens 
alsmede uitbreiding van de bevoegdheid van het College 
bescherming persoonsgegevens om bij overtreding van 
het bepaalde bij of krachtens de Wet bescherming persoons¬ 
gegevens een bestuurlijke boete op te leggen (meldplicht 
datalekken en uitbreiding bestuurlijke boetebevoegdheid 
Cbp)( 33662 ). 

De beraadslaging wordt hervat. 

□ 

Staatssecretaris Dijkhoff: 

Mevrouw de voorzitter. Ik dank u en de andere leden dat u 
dit wetsvoorstel zo voortvarend hebt willen behandelen, 
en dat op een voor de senaat zo belangrijke en interessante 
dag. 

De bescherming van de persoonsgegevens gaat de overheid 
aan het hart. Die gaat ook het kabinet aan het hart. Ik heb 
gemerkt dat die ook de Eerste Kamer aan het hart gaat. De 
Kamer ziet het belang in van een betere bescherming van 
de gegevens van personen, ook waar het gaat om de data¬ 
bescherming Online. Het wetsvoorstel zoals het nu voorligt 
kent twee hoofdonderwerpen. Enerzijds is er die algemene 
meldplicht voor datalekken. Daarnaast is er sprake van een 
uitbreiding van de bevoegdheid van het CBP — dat gaat 
straks, als het wetsvoorstel is aanvaard. Autoriteit Persoons¬ 
gegevens heten — om bij overtreding een bestuurlijke boete 
op te leggen. 

Over beide elementen is veel gezegd en geschreven. Dat 
is terecht, omdat het steeds zoeken is naar een balans tus¬ 
sen enerzijds de bepaaldheid van de wetgeving en ander¬ 
zijds de reikwijdte van de bescherming van de persoonsge¬ 
gevens van burgers. De nieuwe verplichtingen beogen de 
Autoriteit Persoonsgegevens, het huidige CBP, in staat te 
stellen om op te treden waar dat nodig is en, indien infor¬ 
matie op straat komt te liggen of mogelijk in verkeerde 
handen komt, zo snel mogelijk maatregelen te treffen om 
het lekken te beperken en de impact daarvan de verkleinen 
en te beperken. 

De Kamer heeft hierover de nodige vragen gesteld. Ook 
schriftelijk is er al een uitgebreide wisseling van vragen en 
antwoorden geweest. Ik stel het op prijs om nu hier de 
vragen te beantwoorden, allereerst de vraag van mevrouw 
Ter Horst, die niet de validiteit van deze meldplicht in twijfel 
trok, maar zich wel afvroeg hoe het met al die andere 
meldplichten staat. Ik ga niet de rekensom herhalen die 
hierbij mogelijk is. Een aantal meldplichten bestaat en een 
aantal is in wording. Het aantal dat in wording is, vervangt 
bestaande. Het is zelfs zo dat deze meldplicht die in wording 
is, op termijn alweer zal worden vervangen door een andere 
die in wording is, namelijk op Europees niveau. Het is niet 
alleen maar cumulatief, maar ik kan het ook niet zo wegre¬ 
deneren dat er maar drie overblijven; wij hebben straks 
gewoon een flink aantal meldplichten over. Dat heeft vooral 


te maken met een poging om toch enige differentiatie aan 
te brengen. Het gaat om de erkenning dat het wel uitmaakt 
of het de overheid zelf is, een justitiële dienst of de politie, 
of een net beginnende webwinkel. Wij leggen iedereen een 
algemene meldplicht op, die hier nu voorligt. Daarnaast 
zeggen wij dat voor specifieke sectoren, zoals telecom of 
overheid, zwaardere eisen gelden. Voor die sectoren geldt 
dus ook een verzwaarde meldplicht en een ander regime. 

Je hebt dus verschillende plichten; het is niet een stelsel 
met een algemene plicht en daarvan afgeleide plichten. De 
meldplichten zijn in de tijd ontstaan. Het is niet geheel 
onlogisch dat het bij de telecom begonnen is en dat de 
meldplicht daar dus ook al wat langer bestaat. Nederland 
loopt op dit terrein niet achter, maar je ziet dat na verloop 
van tijd ook op Europees niveau de behoefte ontstaat om 
het breder, gemeenschappelijk en geharmoniseerd te 
regelen. Daardoor wordt daarin weer een stap gezet. Wij 
proberen het wel te stroomlijnen, maar wij gaan niet ons 
eigen niveau van bescherming lager maken omwille van 
de harmonisatie. 

Mevrouw Gerkens heeft een vraag gesteld over de exacte 
bewaartermijn. Dat is lastig. De termijn is gesanctioneerd. 
Het gaat natuurlijk niet om het bewaren van al die gegevens 
of de privacy rond al die data. Het gaat echt om het lek. Wij 
vinden het dan wat te mager om de gedachte te laten 
postvatten: ik heb het bij de autoriteit gemeld, die bewaart 
het wel. Je hebt een eigen verantwoordelijkheid om te 
kunnen terugzien in de ontwikkeling van het bedrijf wat de 
voorgeschiedenis was. Was het de eerste keer? Is het een 
herhaalprobleem? Zit het in het falen van het beleid of is 
er niet genoeg aandacht voor? Heel bepaald vinden wij het 
dan ook lastig om het heel exact te doen, vooral omdat 
vanwege de technologie de bezwaarlijkheid van het bewa¬ 
ren van dit soort gegevens is afgenomen. Wij hebben het 
immers waarschijnlijk niet over rijen ordners die je tien jaar 
lang moet bewaren. Er zit een gradatie in het belang en de 
ernst van de zaak. Als we dit aan de verantwoordelijkheid 
laten van de ondernemer zelf, kan er ook intern lang genoeg 
worden teruggeblikt en kunnen er lessen worden geleerd 
uit wat er is gedaan met een vorig probleem. 

De bewaarplicht op termijn zou ook nog het effect kunnen 
hebben dat de gegevens automatisch verwijderd worden 
na die termijn. Dat kan natuurlijk jammer zijn, in die gevallen 
waar het informatie betreft die nuttig kan zijn voor het 
voorkomen en verhelpen van toekomstige problemen. 

Mevrouw Gerkens (SP): 

Maar ik wil juist voorkomen dat mensen gegevens veel te 
snel weggooien. Misschien kan de staatssecretaris ons 
aangeven dat dergelijke gegevens minimaal een aantal jaar 
bewaard moeten worden. Op den duur zijn ze toch verou¬ 
derd, want de systemen verouderen, maar ik kan mij voor¬ 
stellen dat een minimale bewaartermijn van vijfjaar al 
behoorlijk redelijk is. 


Staatssecretaris Dijkhoff: 

Ik zoek dan een beetje aansluiting bij de Telecommunicatie¬ 
wet, niet omdat daar wel een termijn in staat, maar omdat 
ook daar geen termijn in staat en de systematiek hetzelfde 
is. In de telecomsector gaan de ontwikkelingen erg snel, 
waardoor men zelf doorgaans een termijn van twee tot drie 
jaar hanteert. Dat heeft ook te maken met wat mevrouw 
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Gerkens al aangaf: de omloopsnelheid van systemen. Het 
lijkt me daarom verstandig dat een bedrijf zelf dat beleid 
voert en zelf bekijkt welke informatie erg systeemgebonden 
is en welke meer gebonden is aan de bedrijfscultuur. We 
denken echter wel in jaren en niet in maanden, al was het 
maar omdat, als er een sanctie aan gekoppeld is of als het 
proces van het informeren van burgers van wie de data 
potentieel in verkeerde handen zijn gevallen nog loopt, er 
tijd overheen gaat en je een jaarlijkse verantwoordingscy- 
clus hebt. Je moet kunnen terugblikken om verantwoording 
af te kunnen leggen. Een exacte bewaartermijn, generiek, 
voorzie ik dus niet. Ik acht het heel wel mogelijk dat het CBP 
bij het vaststellen van de richtsnoeren en meer specifiek 
bij het type probleem een indicatie kan geven van de 
bewaartermijn. De Kamer kan daar dan over geïnformeerd 
worden. 

Een andere vraag betrof de richtsnoeren. Deze worden 
samen met het kabinet vastgesteld. Er wordt vooraf over 
overlegd. Ze worden ook gepubliceerd. Wij zullen ervoor 
zorgen dat ze bij de Kamer terechtkomen, zodat de leden 
de richtsnoeren kunnen zien en er een mening over kunnen 
vormen. Als daar behoefte aan is, kunnen de leden er 
daarna over in overleg treden. 

Mevrouw Gerkens vroeg ook om iedereen te informeren 
als de wet er is. Wij erkennen dat naast de gebruikelijke 
publiciteit rondom een nieuwe wet die van kracht is 
geworden, deze wet expliciete aandacht behoeft, al was 
het maar omdat het vaak om een datum gaat waarop ook 
veel andere wetten van kracht worden. Wij voorzien dat wij 
in overleg zullen treden met het CBP maar ook met de 
Kamer van Koophandel om te bekijken op welke manier 
we dit het beste kunnen doen. We moeten het niet laten bij 
alleen de publicatie van de wet zelf. Ik wil niet zover gaan 
dat ik nu toezeg dat het instrument van een brief op papier 
gericht aan het adres van inschrijving de meest geëigende 
weg is. Maar ik wil wel toezeggen dat wij voor ogen hebben 
om hier een brede bekendheid aan te geven, en dat niet 
slechts middels een eenmalige actie, zodat vooral ook in 
de sectoren waar het relevant is er brede aandacht is voor 
dit punt, hetzij rechtstreeks vanuit het ministerie, hetzij 
vanuit het CBR Dat moet zich dan natuurlijk meteen presen¬ 
teren als een instantie die deze bevoegdheid heeft. Ik per¬ 
mitteer mij even de vrijheid om voor het CBP te bedenken 
dat het zou kunnen zeggen dat het niet zal aarzelen om deze 
bevoegdheid te gebruiken. 


Mevrouw Gerkens (SP): 

Ik had de staatssecretaris nog de suggestie gegeven om 
daarbij te verwijzen naar het programma voor het mkb dat 
bij het ECP loopt. Is de staatssecretaris voornemens om dat 
te doen? 


Staatssecretaris Dijkhoff: 

Ja, zeker als wij zelf de communicatie ter hand nemen. Als 
wij de lead in de communicatie hebben, zullen wij ook onder 
de aandacht van het CBP brengen dat het niet alleen moet 
zeggen "er is een plicht; u moet het melden en als u dat niet 
doet, dan zwaait er wat", maar ook moet zeggen "hebt u 
hulp nodig, dan kan dat bij het CBP zelf, maar we hebben 
ook allerlei programma's lopen voor de implementatie". 


Mevrouw Ter Horst had een vraag over een jaarlijkse rap¬ 
portage van de aantallen gemelde datalekken. Zeker. Het 
CBP gaat ook de effecten monitoren, juist omdat we bij de 
behandeling hebben gemerkt dat er twee risico's zijn. Het 
eerste is het risico dat men denkt: het zal wel loslopen, dus 
we melden het niet. Het tweede is het risico dat men denkt: 
ik heb een brief gehad en het is mij ook anderszins duidelijk 
dat er iets zwaait, dus ik ga aan overcompliance doen. 
"Overcompliance" is een mooie managementterm om te 
beschrijven dat mensen zich te veel aan de regels houden. 
We willen die risico's kunnen voorzien en ze waar nodig 
bijsturen. Het jaarverslag zal die monitoring bevatten. Dat 
wordt ook gepubliceerd en aan het parlement aangeboden. 
Dan kan het dus verder onderwerp van gesprek zijn. 

Ik kom op de vraag van mevrouw Gerkens over de structu¬ 
rele voorziening, een brief inzake de Hold-casus. Dit betreft 
een andere meldplicht dan waar mevrouw Ter Horst naar 
verwees in haar vraag, in de cybersecurityhoek, bij het 
NCSC. Die voorziening is opgenomen in het wetsvoorstel 
inzake de cybersecurity. Ik verwacht dat dit binnenkort in 
de ministerraad zal worden behandeld en dan naar de Raad 
van State zal worden verzonden voor advies. 

De meeste vragen zijn gesteld over het lastigste onderwerp. 
Ik heb dat tot het einde bewaard, om er eerst even in te 
kunnen komen. Dat onderwerp betreft de spanning die er 
is tussen de bepaaldheid van de norm en de reikwijdte van 
de meldplicht. Maken we de wet heel specifiek, dan weet 
iedereen precies waar hij aan toe is, maar dan lopen we 
ook het risico dat binnen de kortste keren de ontwikkelingen 
in de praktijk en in de techniek ervoor zorgen dat we hier 
weer staan met een nieuw wetsvoorstel, omdat het oude 
net niet voorzag in die nieuwe ontwikkelingen. Het doel van 
de uitbreiding van de bevoegdheid van het CBP was dat 
het CBP de bevoegdheid kreeg om overtredingen van de 
gegevensbeschermingsbepalingen te kunnen bestraffen 
met boetes. Zo hoeft het niet alleen in het toezicht een 
waarschuwend vingertje te heffen, maar kan het ook een 
flinke boete opleggen, als dat echt nodig is en als er echt 
aanleiding toe is. Zo wordt de verantwoordelijke ter verant¬ 
woording geroepen en ervaart deze de consequenties. Een 
ander doel bij het inrichten van de systemen is altijd 
geweest om de verantwoordelijke niet een onmogelijke 
inspanning op te leggen. Hij moet niet uit hoeven puzzelen 
of hij wel of niet aan de wet voldoet. Die twee doelen leiden 
tot een spanning waarin je een balans moet vinden. 

Een ander doel is om zo veel mogelijk mensen te bescher¬ 
men en om de samenleving zo veel mogelijk ervan te 
doordringen dat het niet zo is dat het helemaal niet erg is 
als data ergens weglekken of dreigen weg te lekken. Uit de 
evaluatie van de Wet bescherming persoonsgegevens is 
naar voren gekomen dat dit punt steeds terugkomt en dat 
het vaak gaat om algemeen geformuleerde normen. Dat is 
een wat neutrale term, een ander noemt het "open" en weer 
een ander zelfs "vaag". Dat is het systeem, vooral ook omdat 
het vaak problemen zijn waar we nu voor het eerst tegenaan 
lopen en die zich nog moeten zetten in de samenleving. 
Dat maakt het lastig. Bedrijven kunnen niet meteen zien of 
hun gedrag wel of niet strafbaar dan wel beboetbaar is. 

Een andere zaak waar wij als wetgever mee te kampen 
hebben, is de sterke afhankelijkheid van de context om te 
kunnen bepalen of iets daadwerkelijk een probleem is. De 
precieze omstandigheden van het geval zijn daar nogal 
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leidend in. Zeker, bij de toepassing van de richtlijnen moet 
rekening worden gehouden met het rechtszekerheidsbegin¬ 
sel. We zien bij de ontwikkeling van het wetsvoorstel dat 
de checks-and-balances verschoven zijn. Het is niet letterlijk 
dezelfde tekst als die ooit als eerste werd ingediend. Dat 
heeft natuurlijk ook te maken met het feit dat de Afdeling 
advisering van de Raad van State erop gewezen heeft dat 
hier nog wel iets aan mocht gebeuren. Ook is erop gewezen 
dat als tussenstap een bindende aanwijzing gegeven moet 
worden. Er is inmiddels voor gekozen om de onbepaaldheid, 
het moeten inwerken en het moeten leren omgaan met 
deze materie niet terug te draaien, maar te compenseren 
door de stap van de bindende aanwijzing voordat er wordt 
overgegaan tot boetes. Ook is er gekozen voor de verplich¬ 
ting om de richtsnoeren niet alleen maar door het CBP zelf 
te laten ontwikkelen, maar het CBP ook op te dragen om 
hiervoor voorafgaand aan de vaststelling overleg te voeren 
met het kabinet, en wel met de minister van Binnenlandse 
Zaken en Koninkrijksrelaties en de staatssecretaris van 
Veiligheid en Justitie, zodat het proces meer begeleid wordt. 
Er is dus voor gekozen om de onbepaaldheid op die manier 
te ondervangen. 

Een interpretatieve verklaring daarvan, waar de heer Fran¬ 
ken naar vroeg, vind ik op dit moment niet op zijn plaats, 
omdat wij juist hebben besloten om het samenstellen van 
de richtsnoeren in samenspel met het CBP te gaan doen 
en daarin de expertise uit het veld mee te nemen. Een 
andere reden waarom het gevraagde voor mij lastig is, is 
de volgende. Samenspel is mogelijk. Dat gebeurt ook op 
advies van de Raad van State. Maar we hebben ook de 
onafhankelijkheid van het CBP in acht te nemen. De Euro¬ 
pese privacyrichtlijn schrijft dat nadrukkelijk voor. De ruimte 
om de wettelijke normen nader uit te werken tot op detail¬ 
niveau is dus beperkt. 


De heer Franken (CDA): 

Ik vraag de staatssecretaris dan om eens duidelijk aan te 
geven wat de woorden "een aanzienlijke kans" betekenen. 
Ik heb een aantal voorbeelden gegeven van dergelijke 
redelijk vage formuleringen die in het recht voorkomen, op 
diverse rechtsgebieden. Maar zeg het nou eens in gewoon 
Nederlands. De burgers kennen die juridische abracadabra 
niet. Zegt u nou eens in gewoon Nederlands wat u "een 
aanzienlijke kans" vindt, staatssecretaris. Een kans van 60% 
dat het niet zal gebeuren? Of 100%? Probeer het nou eens 
gewoon te omschrijven, in gewone taal. 


Staatssecretaris Dijkhoff: 

Daarvoor is technologie te lastig. De kans dat er iets 
gestolen is bij een inbraak is aanzienlijk. Dat kan ik schatten. 
Ik ga dan gewoon naar de plek waar de deur open heeft 
gestaan en kijk of er iets weg is. Ik weet misschien niet 
precies wat er stond, maar ik weet het wel ongeveer. Ik 
weet dan dus of er iets weg is. Bij data is het anders. Dan 
kun je beter de vergelijking maken met iemand die een 
fysiek pand binnen is gegaan en er foto's heeft gemaakt. 
Dat kan ik niet zien. Een datalek betekent niet dat de wegge¬ 
lekte data verdwenen zijn. Daarvan is een kopie gemaakt. 
Technologisch hangt de kans af van de mogelijkheid om 
de in het systeem ontdekte kwetsbaarheid uit te nutten. 
Daarbij kan voor een hacker bijvoorbeeld de laagdrempe¬ 
ligheid om binnen te komen een rol spelen. De vraag is dan 
of nog niemand op deze kwetsbaarheid gestuit is of dat een 


ethische hacker die al in het kader van de "responsible dis- 
closure" heeft aangemeld. Het kan ook gaan om een pro¬ 
bleem waarover in de literatuur al tien jaar wordt geschre¬ 
ven en waarvoor heel veel updates, patches en reparatie- 
werk zijn geweest of ter verhelping waarvan juist niets is 
uitgevoerd. Er kunnen inmiddels al tooltjes zijn die niet 
alleen hackers maar ook wij in deze zaal voor een paar 
dollar kunnen kopen, om daarmee te scannen of een net¬ 
werk een dergelijke kwetsbaarheid vertoont. Naarmate de 
kwetsbaarheid groter is, stijgt de kans dat iets ontvreemd 
is. De inhoud van de data die aan kopiëren of hacken ten 
prooi zijn gevallen, draagt bij aan de mate waarin het 
gemeld moet worden. Als het gaat om een systeem met 
enkel de naam en het e-mailadres van een sportvereniging 
en het een heel gangbare sport is, is de kwetsbaarheid van 
de gegevens die in het geding zijn een stuk kleiner dan 
indien het gaat om misschien wel dezelfde combinatie van 
naam en e-mailadres, maar dan van een vereniging die 
maatschappelijk omstreden is, om maar iets te noemen, 
en waarvan het niet per se gangbaar is om lid te zijn. Het 
kan ook gaan om een webwinkel die producten verkoopt 
waarvan de gebruiker of de consument niet wil dat iedereen 
dat weet. Als je weet dat je dergelijke producten verkoopt, 
is je verantwoordelijkheid groter. De technische kans op 
een lek moet dan worden vermenigvuldigd met de kwets¬ 
baarheid van de informatie om te kunnen analyseren of er 
sprake is van een verplicht te melden lekkage of risico op 
lekkage. Ook daar hebben wij het over. Als een vat olie lekt, 
kun je meten of er iets uit is, maar in dit geval kan er iets 
uitzijn zonder dat je het weet. Ook als je niet kunt vaststel¬ 
len of er iemand is langsgekomen die gebruik heeft gemaakt 
van het lek om data te kopiëren, kan de kwetsbaarheid van 
de data er wel toe leiden dat het verplicht is om er melding 
van te maken. Dat heeft de Tweede Kamer zo geamendeerd. 


De heer Franken (CDA); 

Vindt de staatssecretaris de risicofactor bepalend? Ik zeg 
niet dat ik het daarmee niet eens zou zijn, maar dan geeft 
de staatssecretaris een bepaalde handreiking. 


Staatssecretaris Dijkhoff: 

Ja, risicofactor maal ernst. Risico is natuurlijk altijd de kans 
dat iets gebeurt maal de ernst van het gebeurde. Dat zit al 
in het woord "risico" ingebakken. In dit wetsvoorstel is 
inderdaad gekozen voor de risicobenadering. 

In veel gevallen zal meteen duidelijk zijn dat melding ver¬ 
plicht is. In een aantal gevallen, waarvan de Kamer enkele 
voorbeelden heeft genoemd, is dat niet het geval. Waarop 
sturen wij nu? Wij sturen natuurlijk op melding van precies 
al die gevallen die binnen de bandbreedte vallen. Als we 
risico moeten nemen, met name in het begin, is het "better 
safe than sorry" niet alleen een risico in de samenleving, 
maar iets wat we vooral in het begin liever hebben dan dat 
er maatschappelijke ophef is doordat we moeten constate¬ 
ren dat er vanwege de reikwijdte en door een belangrijk en 
cruciaal lek gegevens op straat zijn komen te liggen zonder 
follow-up of melding aan de mensen die het betreft. Met 
deze instrumenten en dit kader van wetgeving heb ik er 
vertrouwen in dat het College bescherming persoonsgege¬ 
vens de nieuwe door de wet geboden mogelijkheden goed 
kan benutten en mede een werkbare praktijk kan vormen, 
waarin bedrijven weten waar zij aan toe zijn en waarin 
vooral onze data goed beschermd worden. 
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Mevrouw Gerkens gaf mooi aan dat het hierbij natuurlijk 
niet alleen om bewuste fouten en wetsovertredingen gaat 
die als een crimineel nagejaagd moeten worden. Daarom 
zit het ook in het bestuurlijke regime. Criminelen maken 
misbruik van lekken die ontstaan. Het voorkomen van die 
lekken is natuurlijk veel beter dan het moeten melden ervan. 
Bewustwording in de samenleving is dus van cruciaal 
belang. Het is niet alleen zaak dat mensen een lek melden 
waarvan ze zelf weet hebben, maar ook dat zij mondig 
worden zodra zij zich afvragen waarom mensen iets willen 
weten overeenkomstig het voorbeeld van mevrouw Ger¬ 
kens. Een dergelijke mondigheid zou ook moeten ontstaan 
als we denken dat er iets mis kan zijn. Als telkens wanneer 
ik iets zeg mensen ook maar één wachtwoord aanpassen, 
neemt de veiligheid al toe. Dat is mijn mantra. Het netwerk 
aan informatievoorzieningen dat we in Nederland hebben, 
valt of staat met de veiligheid in de gehele keten en niet 
alleen met de dingen die we kunnen vatten onder wettelijke 
bepalingen. 

Hiermee kom ik aan de afronding van de beantwoording 
van de vragen. Indien de Eerste Kamer zich in het voorlig¬ 
gende wetsvoorstel kan vinden, zullen wij de uitwerking 
ervan met spoed ter hand nemen, richtsnoeren ontwikkelen 
en de wet in werking laten treden om de data van ons allen 
beter te beschermen. 


□ 

De heer Franken (CDA): 

Voorzitter. Ik zal staccato een paar opmerkingen maken. De 
eerste is dat ik mijn positieve opmerkingen in de eerste 
termijn enigszins omfloerst heb gebracht, omdat de 
bestuurlijke aanpak van die heel hoge boete door niet- 
rechters waar wij meestal nogal tegenaan hikken, in een 
wat abstract kader geplaatst wordt. Voor alle duidelijkheid 
merk ik nog eens op dat wij blij zijn dat deze wet tot stand 
komt, waar het aan dit college is toegekend om dergelijke 
bevoegdheden uit te dragen en waar te maken. Ten tweede 
had ik toegezegd dat ik in tweede termijn nog met een 
enkele praktische vraag zou komen. Mevrouw Gerkens heeft 
die vraag al gesteld. Deze betreft het overzicht dat een ver¬ 
antwoordelijke moet bijhouden van de gemelde inbreuken. 
De bewaartermijn is niet voorgeschreven. In de memorie 
van antwoord is duidelijk gemotiveerd waarom dat niet zou 
moeten. De staatssecretaris is daarop nog eens ingegaan. 
Mevrouw Gerkens heeft gezegd dat je toch aan minstens 
vijf jaar moet denken. Mij lijkt dat erg veel. Ik zou als crite¬ 
rium aan willen houden dat de gegevens zolang bewaard 
moeten worden dat er voor het College bescherming per¬ 
soonsgegevens een redelijke mate of misschien zelfs aan¬ 
zienlijke mate, om maar een bekende kreet uit artikel 34 
over te nemen, is om goed onderzoek te verrichten. Als zij 
niet gedurende een jaar worden opgeslagen, lijkt mij de 
kans voor het CBP gering. Het overzicht zal dus minimaal 
een jaar moeten worden bijgehouden en bewaard. Hierover 
hoor ik graag een toezegging van de staatssecretaris. 

Mijn derde punt betreft de hoofdmoot van mijn inbreng, 
dus de interpretatieve verklaring van artikel 34a. De staats¬ 
secretaris heeft geprobeerd om tussen Scylla en Charybdis 
door te varen. Dat kan ik mij wel voorstellen, maar het punt 
is dat de gewone burger met deze vraag zit. Het lijkt mij dat 
het al iets duidelijker is als die erop is gewezen dat er een 
bepaald risico aan de orde moet zijn, te meer daar er zelfs 
een handel in lekken plaatsvindt, zoals de staatssecretaris 
misschien bekend is. Die heet "zero-day exploits". Zij schijnt 


nogal lucratief te zijn. Er wordt dan een bepaald risico van 
een ander verkocht. Ik zou dat bijna een criminele daad 
noemen, maar zo kunnen wij dit nog niet kwalificeren. 

Mijn vierde punt betreft het Engelse woord "awareness", 
waarvan ik denk dat het zo langzamerhand een Nederlands 
woord moet worden. Wij moeten ons zo bewust zijn van 
de schade die men kan lijden door het verkeerd gebruiken 
van informatietechnologie of door het feit dat anderen die 
verkeerd gaan gebruiken, dat ik dat woord ingelijst en wel 
boven het bed van eenieder wil hangen. Dan ziet iedereen 
dat bij het slapen gaan en bij het opstaan wederom. 

Het melden van datalekken is een onderdeel van de borging 
van het vertrouwen dat mensen nodig hebben om te com¬ 
municeren. Vertrouwen is de basis van onze samenleving. 
Ik ben verheugd dat wij deze middag een bijdrage hebben 
kunnen leveren aan de borging daarvan. 

De voorzitter: 

Dank u, mijnheer Franken. Voordat ik mevrouw Ter Horst 
het woord geef voor haar bijdrage in tweede termijn, merk 
ik op dat ik begrepen heb dat dit uw laatste woorden in 
deze samenstelling van de Eerste Kamer waren. Bij een 
vorig debat hebben wij het ook al gezegd, maar ik herhaal 
het bij dezen: wij zullen u node missen. 

(Geroffel op de bankjes) 

□ 

Mevrouw Ter Horst (PvdA): 

Ik ben benieuwd wat de voorzitter gaat zeggen als ik ben 
uitgesproken! 

De voorzitter: 

Dat wij u ook zullen missen! 

Mevrouw Ter Horst (PvdA): 

Maar niet node! Ik hoor het al! 


De voorzitter: 

Dat is met name vanwege de expertise van de heer Franken 
op dit terrein. 

Mevrouw Ter Horst (PvdA): 

Absoluut. U hoeft het niet uit te leggen, hoor. 

Voorzitter. Ik had eigenlijk niet zo vreselijk veel behoefte 
aan een tweede termijn. Ik dank de staatssecretaris voor 
zijn beantwoording. Ik begrijp uit zijn woorden dat niet alle 
organisaties aan alle meldplichten moeten voldoen. Je mag 
ze dus niet allemaal bij elkaar optellen. Ik denk dat wij de 
staatssecretaris wel mogen zien als iemand die er alles aan 
zal doen om ervoor te zorgen dat de druk om te melden die 
op organisaties wordt gelegd, zo gering mogelijk is. Ik heb 
daar alle vertrouwen in. 

Ik heb de staatssecretaris ook horen zeggen dat het College 
bescherming persoonsgegevens de effecten gaat monitoren 
en die in een jaarverslag zal vastleggen. Ik hoop dat ik het 
niet gemist heb, maar volgens mij is de staatssecretaris 
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niet ingegaan op mijn verzoek om nu al iets te zeggen over 
de richtsnoeren waarmee het College bescherming per¬ 
soonsgegevens komt. Heeft hij daar al een beeld van? 
Mocht die vraag te ingewikkeld zijn, aangezien hij daarop 
in eerste termijn niet is ingegaan, dan zou ik graag horen 
of hij de bereidheid heeft om de richtsnoeren aan de Kamer 
ter beoordeling te zenden als ze daadwerkelijk tot stand zijn 
gekomen. 


De voorzitter: 

Dank u wel, mevrouw Ter Horst. Wij zullen u missen! Het 
woordje "node" sla ik inderdaad over. Wij zullen u — en dat 
meen ik oprecht — missen! 


(Geroffel op de bankjes) 

De voorzitter: 

Ik heb begrepen dat u geen behoefte had aan een bijdrage 
in tweede termijn, mevrouw Gerkens? Wij zien u tenslotte 
ook nog terug in de Kamer in haar volgende samenstelling. 

Dan geef ik nu het woord aan de staatssecretaris. 

□ 

Staatssecretaris Dijkhoff: 

Voorzitter. Ik voel bij de sprekers steun voor en vertrouwen 
in het wetsvoorstel. Ik hoop dat dit uiteindelijk zal blijken, 
zodat wij snel aan de slag kunnen gaan. 

De heer Franken heeft gevraagd of ik kan toezeggen dat de 
termijn minimaal een jaar is. Ik kan toezeggen dat ik deze 
wens zal overbrengen in het gesprek met het College 
bescherming persoonsgegevens, dat zijn richtsnoeren 
hieromtrent zelfstandig maar wel in overleg moet vaststel¬ 
len. Ik deel deze wens ook; een jaar is wel het minste. Zoals 
ik al zei, wordt in de sector zelf vaak twee è drie jaar logisch 
gevonden. Wel wil ik dit in richtsnoeren ook brengen als 
een eigenstandige verplichting voor de organisatie, niet 
alleen gekoppeld aan de mogelijkheid tot het doen van 
onderzoek, om te voorkomen dat een organisatie denkt: ik 
heb het gemeld, dus neem aan dat ze het zelf bewaren. Het 
gaat namelijk om het bewaren van aan het CBP gemelde 
datalekken. 

Wat de heer Franken heeft opgemerkt over de handel in 
lekken is allemaal waar. Awareness en bewustwording zijn 
belangrijk. Dat ben ik geheel met de heer Franken eens. Ik 
voeg daaraan toe dat het dan ook aan ons is om aan te 
vullen waarvan wij ons bewust moeten worden. In dit geval 
is dat zeker ook de eigen bijdrage die wij allemaal moeten 
leveren aan een veiligere communicatie onderling. 

Mevrouw Ter Horst vroeg of ik een beeld had van de richt¬ 
snoeren. Ik heb haar eerdere vraag te impliciet behandeld, 
dus het lag aan mij. Ik heb namelijk wel gezegd dat ik de 
richtsnoeren naar de Kamer zal sturen zodra ze er zijn en 
gepubliceerd worden. Daarmee impliceerde ik inderdaad 
dat ik er op dit moment geen zicht op heb en dat ik nog 
geen informatie kan geven over de inhoud van de richtsnoe¬ 
ren in ontwikkeling. Het college heeft in het overleg met 
het kabinet aangegeven dat het hiervoor goed de tijd wil 
krijgen om dit de komende maanden uit te voeren, zodat 
de richtsnoeren duidelijk zijn zodra het wetsvoorstel van 


kracht wordt en zodat wij geen tijd hebben waarin er wel 
een wet is maar nog geen duidelijkheid voor burgers en 
bedrijven over de precieze bedoelingen daarvan. 

De beraadslaging wordt gesloten. 

De voorzitter: 

Het wetsvoorstel wordt zonder stemming aangenomen. 

Ik complimenteer de staatssecretaris met de prachtige winst, 
waarmee ik deze vergadering kan afsluiten. 
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